«Человеческий фактор» и меры защиты конфиденциальной информации Москва 2008 Ассоциация региональных банков России В.А. Гамза Первый вице-президент Ассоциации.

Презентация:

Advertisements

Похожие презентации

1 Безопасность информации в компании. Ключевые точки защиты. Организация собственной Службы информационной безопасности Широков Александр, заместитель.

Advertisements

Приготовили: Гринёва Татьяна Жаркова Татьяна Глядковский Николай.

Основные понятия Законодательство в сфере защиты информации.

О ПРОЕКТЕ СТАНДАРТА КАЧЕСТВА ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ ПРОТИВОДЕЙСТВИЯ ЛЕГАЛИЗАЦИИ (ОТМЫВАНИЮ) ДОХОДОВ, ПОЛУЧЕННЫХ ПРЕСТУПНЫМ ПУТЕМ, И ФИНАНСИРОВАНИЮ ТЕРРОРИЗМА.

Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника; СИБИРСКИЙ ИНСТИТУТ УПРАВЛЕНИЯ (Ф) РАНХИГС Выполнили:

своевременное выявление реальных и потенциальных угроз жизненно важным интересам компании со стороны персонала; эффективное противодействие и борьба с.

Экономическая безопасность предприятия. Экономическая безопасность предприятия – это состояние наиболее эффективного использования корпоративных ресурсов.

Виды нарушений Правонарушение – юридический факт ( наряду с событием и действием ), действия, противоречащие нормам права ( антипод правомерному поведению.

Фактор эффективности В современных условиях одним из решающих факторов эффективности деятельности организации является обеспечение высокого качества.

Министерство труда и социальной защиты Российской Федерации Организация работы подразделений кадровых служб федеральных государственных органов по профилактике.

Security Business 2013 Безопасность предпринимательской деятельности Общеуниверситетский факультатив под общей редакцией члена-корреспондента Российской.

Организация внутренней безопасности компаний и предприятий.

Преподаватель Красноперова Виктория Игоревна ДИСЦИПЛИНА.

Государственное профессиональное образовательное учреждение «Коми республиканский агропромышленный техникум»

Правонарушение – юридический факт (наряду с событием и действием), действия, противоречащие нормам права (антипод правомерному поведению). Правонарушения.

ОСНОВНЫЕ ОБЯЗАННОСТИ СОТРУДНИКОВ УГОЛОВНОГО РОЗЫСКА ПО ПРЕДУПРЕЖДЕНИЮ ПРЕСТУПЛЕНИЙ И АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЙ. Выполнил: Якушев М.Д.

ВЫПОЛНИЛА ЗУБАРЕВА С. ГР. 115 УП Статья 183 УК РФ. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну.

ПРАВА ОРГАНОВ РЕСПУБЛИКИ КАЗАХСТАН.

Система обеспечения экологической безопасности (защищенности окружающей среды) Правовое регулирование Медицинские меры Образование и воспитание В ст.

Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.

Транксрипт:

«Человеческий фактор» и меры защиты конфиденциальной информации Москва 2008 Ассоциация региональных банков России В.А. Гамза Первый вице-президент Ассоциации банков «Россия», Председатель Совета директоров ОАО «Агрохимбанк»

Наиболее опасным видом противоправных посягательств на конфиденциальную информацию в банковском деле является «Незаконное получение, разглашение и использование сведений, составляющих коммерческую, налоговую или банковскую тайну» - преступление, предусмотренное статьей 183 Уголовного кодекса РФ. Для данного вида преступлений характерен высокий уровень латентности (невыявленности и недостоверного отражения в учетах правоохранительных органов). По официальным данным, в 2007 г. в России зарегистрировано 244 случая преступных посягательств на коммерческую (банковскую) тайну. Однако, ряд косвенных признаков показывает, что в действительности число таких случаев намного превышает указанную цифру. Наиболее опасным видом противоправных посягательств на конфиденциальную информацию в банковском деле является «Незаконное получение, разглашение и использование сведений, составляющих коммерческую, налоговую или банковскую тайну» - преступление, предусмотренное статьей 183 Уголовного кодекса РФ. Для данного вида преступлений характерен высокий уровень латентности (невыявленности и недостоверного отражения в учетах правоохранительных органов). По официальным данным, в 2007 г. в России зарегистрировано 244 случая преступных посягательств на коммерческую (банковскую) тайну. Однако, ряд косвенных признаков показывает, что в действительности число таких случаев намного превышает указанную цифру. Ассоциация региональных банков России 1

2 Наиболее распространенными видами преступлений, совершенных в совокупности с незаконным получением, разглашением и использованием банковской тайны, являются: «Мошенничество» – ст. 159 УК; «Изготовление поддельных пластиковых карт и иных платежных документов» – ст. 187 УК, «Коммерческий подкуп» – ст. 204 УК, «Неправомерный доступ к компьютерной информации» – ст. 272 УК; «Создание, использование и распространение вредоносных программ для ЭВМ» - ст.273 УК, «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети» – ст. 274 УК.

Ассоциация региональных банков России 3 В 2007 году общее количество зарегистрированных преступлений в сфере компьютерной информации составило Из них к деяниям, предусмотренным ст.272 УК («Неправомерный доступ к компьютерной информации»), относилось 2337 случаев. Статистика не дает точных сведений о содержании указанной компьютерной информации, однако практика свидетельствует, что в большинстве случаях это были сведения, составляющие коммерческую и банковскую тайну.

Ассоциация региональных банков России 4 Печальный опыт российского и мирового банковского сообщества показывает, что наибольшими возможностями для нанесения ущерба информационным активам кредитной организации обладает ее собственный персонал. В 2008 году привлечены к уголовной ответственности и осуждены за незаконное получение и использование информации, составляющей банковскую тайну, в целях хищения денежных средств десятки работников московских и региональных банков, начиная с рядовых сотрудников и завершая руководителями подразделений. Суммы похищенных средств исчислялись от нескольких сотен тысяч до пятидесяти миллионов рублей.

Ассоциация региональных банков России 5 В ряду мер предупреждения противоправных посягательств на информационные (как и иные) активы банка со стороны персонала основное внимание следует уделить «человеческому фактору». Указанный фактор оказывает определяющее влияние на эффективность любого вида деятельности. Возрастание его роли в сфере обеспечения безопасности - общемировая тенденция. Затраты на формирование положительных характеристик личности в рамках кредитной организации (отбор, обучение и организация деятельности персонала) имеют прямое отношение к деловой репутации и могут быть детально просчитаны в денежном выражении.

Ассоциация региональных банков России 6 Классическая система мер управления человеческим фактором в целях обеспечения банковской безопасности включает в себя три основных направления: 1) меры, направленные на формирование надежного персонала; 2) меры управления сформированным персоналом; 3) меры «очищения» персонала.

Ассоциация региональных банков России 7 На этапе формирования персонала банка решаются две взаимосвязанные задачи: подбор кандидатов с высокими положительными характеристиками личности (человеческого фактора); защита кадрового состава от проникновения нежелательных лиц. Источниками информации о кандидате служат: результаты прохождения собеседований и тестов;рекомендации с прежнего места работы; записи в трудовой книжке, архивы учебных и иных заведений;справки медицинских учреждений;материалы судебных процессов по гражданским делам;криминальные учеты;результаты опросов сослуживцев, работодателей, соседей и т.д.

Ассоциация региональных банков России 8 Технологизация кадрового отбора – использование автоматических систем поиска, обработки и оценки достоверности информации, заявленной о себе кандидатом. Рекомендации: 1) автоматизированная система поиска информации в электронных массивах данных, разработанная и внедренная в ряде организаций Институтом проблем безопасности и анализа информации; 2) различные модификации технических средств, известных под названием «полиграф». Некоторые из последних разработок «полиграфа» позволяют оценивать подлинность сообщаемой кандидатом информации по голосу без непосредственного контакта с испытуемым.

Ассоциация региональных банков России 9 Управление персоналом включает в себя процессы расстановки и организации деятельности персонала, воспитания и защиты сотрудников от неблагоприятного воздействия внешних сил и иных обстоятельств, способствующих совершению действий, противоречащих интересам банка.

Меры управления сформированным персоналом: 1) Разработка внутренних стандартов защиты информационных активов банка и принятие работниками обязательств по их соблюдению. 2) Осуществление мероприятий организационного и воспитательного характера, направленных на повышение заинтересованности работников в развитии банка и их удовлетворенности положением в коллективе. 3) Реализация комплекса мер по защите персонала банка от негативного воздействия внешней среды по вовлечению в противоправную деятельность. 10

Меры по «очищению» персонала: 1) Выявление, предупреждение и пресечение неправомерных действий, совершенных посторонними лицами с целью побудить отдельных работников к участию в совершении противоправных действий, направленных против интересов банка. 2) Очищение персонала банка от работников, совершивших действия, которые причинили (либо могут причинить) вред интересам банка, его клиентам и партнерам, путем расторжения трудового договора. 3) Предупреждение противоправного поведения персонала банка путем регулярного проведения специальных превентивных мероприятий, побуждающих лиц с асоциальными установками покинуть банк. 11

Ассоциация региональных банков России 12 Важным элементом управления человеческим фактором в сфере защиты информационных активов являются меры психологической подготовки и обучения персонала противодействию противоправным посягательствам на интересы банка со стороны криминальных элементов и недружественных организаций.

Ассоциация региональных банков России 13 Меры психологической подготовки систематическое информирование работников о собственном опыте банка в сфере выявления реальных фактов посягательств на его информационные активы и о подобном опыте иных организаций; детальное изучение объектов посягательств, а также известных ранее и вновь изобретенных способов и приемов, которые применяются преступниками для преодоления мер защиты информационных активов; анализ просчетов работников, способствовавших совершению посягательств.

Ассоциация региональных банков России 14 Наиболее эффективным приемом обучения персонала ПРОТИВОДЕЙСТВИЮ ПРОТИВОПРАВНЫМ ПОСЯГАТЕЛЬСТВАМ НА ИНФОРМАЦИОННЫЕ АКТИВЫ являются тренинги по работе с конфиденциальной информацией - практические занятия по выявлению и оценке признаков подготовки или совершения неправомерных действий, отработке алгоритма действий в случае обнаружения подозрительных событий. Психологическая неготовность сотрудников, работающих с конфиденциальной информацией, отсутствие знаний и практических навыков обнаружения признаков противоправных посягательств могут свести на нет любую тщательно продуманную и технически совершенную систему защиты.

Ассоциация региональных банков России 15 Модели как инструмент психологической подготовки и обучения персонала «Чем точнее сделан прогноз (составлены модель угроз и модель нарушителя), тем ниже риски нарушения информационной безопасности в организации банковской системы РФ при минимальных ресурсных затратах». ( Стандарт Банка России СТО ИББС «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»)

Ассоциация региональных банков России 16 Использование неформальных информационных потоков в системе мер противодействия В числе источников информации, использующихся для разработки и применения мер воздействия на человеческий фактор, не последнее место по значимости отводится так называемым неформальным информационным потокам (сведениям), циркулирующим внутри организации или за ее пределами.

Ассоциация региональных банков России 17 Неформальные сведения могут быть получены в результате систематических бесед с работниками и их внешними связями, проведения анкетирования в коллективе, опроса клиентов, анализа материалов сети Интернет, электронной почты, телефонных переговоров и другими законными способами.

Ассоциация региональных банков России 18 Направление воздействий на человеческий фактор с целью совершенствования мер защиты Формирование положительных характеристик человеческого фактора в целях защиты конфиденциальной информации предполагает использование комплекса мер, направленных на повышение качества всех описанных выше структурных элементов системы управления персоналом: проведение анализа эффективности используемых инструментов и процессов, их совершенствование и оптимизацию.

Ассоциация региональных банков России 19 В числе специальных направлений воздействия обладателю информационных активов следует решать на постоянной основе ряд основных задач: 1. Выявлять причины и условия, способствовавшие формированию неблагоприятных показателей человеческого фактора, связанных с противоправными посягательствами на информационные активы.

Ассоциация региональных банков России Анализировать практику негосударственных служб безопасности и правоохранительных органов по расследованию и судебному рассмотрению посягательств на информационные активы и корректировать на этой основе меры формирования положительных показателей человеческого фактора. 3. Устранять условия, способствующие совершению противоправных посягательств, организационными, финансовыми, юридическими средствами.

Ассоциация региональных банков России Повышать роль внутреннего расследования в выявлении особенностей формирования отрицательных характеристик человеческого фактора. 5. Реализовывать на практике принцип неотвратимости наказания за совершенное правонарушение.

Ассоциация региональных банков России Благодарю за внимание! тел. (495)